Как Google Analytics предотвращает подделку трафика

Question

Как Google Analytics предотвращает подделку трафика

Мы хотим внедрить сервис в стиле ajax на ряд наших веб-сайтов, каждый из которых имеет уникальный ключ API. Проблема, которую я вижу, состоит в том, что, поскольку ключ api хранится в файле javascript, пользователь может потенциально взять ключ, подделать ссылку HTTP и сделать миллионы запросов к API под этим ключом API.

Поэтому мне интересно, как Google предотвращает подмену Google Analytics? Поскольку в этом используется почти та же идея.

Я также открыт для других идей, по сути, это процесс.

SiteA -> Пользователь <-> Ajax <-> SiteB

РЕДАКТИРОВАТЬ - есть ли способ защитить API от злоупотреблений при вызове через ajax?

20

javascript ajax security spoofing

Источник

user103219 10 мар '10 в 16:29

2 ответа

Решение

Я бы сказал, что ключ - это половина пары открытого и закрытого ключей, которая (каким-то образом) включает URL-адрес в виде хэша. Таким образом, ключ будет работать только, а обращения будут регистрироваться, только если запрос относится к URL-адресу, для которого был создан ключ. Вы не можете подделать запрос, потому что, если вы сделаете это, он переходит на неправильный URL, и ничего не происходит.

-1

Источник

user34796 10 мар '10 в 16:34

Другие вопросы по тегам javascript ajax security spoofing

user183528 10 мар '10 в 17:35 2010-03-10 17:35 · Accepted Answer · 2010-03-10 17:35

Я не верю, что такие меры защиты существуют. Подмена трафика является серьезной проблемой для других сервисов Google, таких как Adwords. Например, злоумышленник, который делает ставку на adwords, может генерировать много поддельных кликов для рекламы своих конкурентов, чтобы повысить свои рекламные расходы и, следовательно, цену акций Google. Обратное также верно, люди будут генерировать поддельные клики на своем сайте, чтобы получить дополнительные деньги от рекламы PayPer Click на своем сайте.

В конце дня хакер может собрать список из 10 000+ анонимных прокси-серверов без особых сложностей, и вы ничего не можете с этим поделать. Хакер также может использовать ботнет, некоторые из которых имеют размеры в миллионы. Трафик, генерируемый из ботнета, может показаться легитимным компьютером с законным Google Cookie, потому что он был захвачен.

Многие прокси-серверы и машины с бонетами перечислены в черных списках реального времени (RBL), например, запущенных http://www.spamhaus.org/, и многие легальные IP-адреса также включены в этот список. Существуют также прокси-серверы, которые нельзя использовать для рассылки спама, но можно использовать для мошенничества с кликами, и поэтому они не будут в этом списке.